驱动在KernelMode下访问文件是不受权限影响的 我试了下楼主的步骤，没有重现这个问题

看错了Raymond的话，抱歉！

我去掉.html仍然是下载不了~也没有收到楼主的邮件 从这个上下文可以知道当时程序指针已经指向了内容为0000的区域，虽然0000仍对应着有效的IA-32 指令，但是这个指令其实很值得怀疑了。 === 楼上说得并不正确，实际出问题时的程序指针是867731f8 ，0000是当前的内存内容 可以看到是360IceBreaker在接受一个DEVICE IO CONTROL指令后进行了一些操作，最后调用ZwClose关闭一个文件句柄，最终触发IofCallDriver,应该是去调用某个驱动的IRP_MJ_CLOSE例程，那么应该是0x867e7ca0 这个DriverObject的IRP_MJ_CLOSE例程地址是867731f8 ...

楼主提供的DUMP下载不了，请将DUMP和SYS一起发送到我的邮箱:th_deocder@126.com 感谢支持！ 这个SYS已经很老了，呵呵

另外，楼主出现的问题原因是这样的： 你直接调用了原始的g_pvOriginNtCreateMutant,此时你的线程前个模式还是UserMode，而你的ObjectAttributesNew 是在内核空间的堆栈变量，在前个模式是UserMode,Nt*等函数会对传入的参数地址做ProbeForRead ...

RltCopyMemory(ObjectAttributesNew , &ObjectAttributes , sizeof(ObjectAttributesNew ));

IoAllocateErrorLogEntry太垃圾了，，，最多只能写255个字节啊。。。 CLFS又只有VISTA能用。。。

学习

打开内核调试会允许RING3的程序直接访问物理内存或虚拟内存，加之NtSystemDebugControl的一些设计BUG（允许指定输出BUFFER地址等），可以被利用来直接操作虚拟内存，因此可能有安全性上的问题

WindowsNT中可以使用如下方法直接访问硬件寄存器（包括PCI设备的寄存器） 1.提升自身进程权限，获得SeTcbPrivilege(admin必须） 2.使用ZwSetProcessInformation -> ProcessUserModeIOPL来修改进程的IOPL，使进程获得访问IO权限的 3.接下来进程就可以使用in , out 指令直接访问硬件寄存器了 当然你可以直接使用WinIo.sys来通过驱动调用Ke386SetIOPL等函数给指定进程开启访问IO权限